Dans une révélation qui soulève des questions sur la sécurité des biens commerciaux, il a été découvert que certaines des serrures de coffre-fort les plus populaires contiennent des codes d’accès secrets, potentiellement exploitables par des tiers. Cette information a été mise en lumière dans une lettre du sénateur américain Ron Wyden, qui a exhorté le gouvernement des États-Unis à avertir explicitement le public des vulnérabilités présentes dans ces serrures.Les fabricants concernés, SECURAM et Sargent and Greenleaf (S&G), sont connus pour produire des serrures à clavier intégrées dans des coffres-forts par d’autres fabricants. Bien que la liste complète des serrures affectées reste inconnue, des documents disponibles en ligne indiquent que plusieurs produits SECURAM incluent ces codes secrets, et S&G a confirmé à l’office de Wyden que certaines de ses propres serrures possèdent également des codes similaires.
Ces codes, souvent appelés « codes de réinitialisation du fabricant » ou « codes de gestion », pourraient permettre à des espions ou des criminels de contourner les serrures sans le consentement du propriétaire et ne sont parfois pas divulgués aux clients. Le Département de la Défense des États-Unis interdit l’utilisation de telles serrures pour des applications gouvernementales sensibles et classifiées, en partie à cause de la vulnérabilité de sécurité que ces codes de réinitialisation représentent
Le sénateur de l'Oregon Ron Wyden a demandé au directeur du National Counterintelligence and Security Center (NCSC), Michael Casey, d'alerter le public sur la possibilité que le gouvernement chinois possède des codes de porte dérobée pour les serrures électroniques fabriquées en Chine, en mettant à jour le matériel éducatif public pour recommander aux entreprises de mettre à niveau leurs serrures de coffre-fort afin de répondre aux normes de sécurité du gouvernement américain.
Les fabricants de serrures utilisées par les consommateurs et les entreprises ont l'habitude, même si elle n'est pas très connue, d'utiliser des codes de porte dérobée. En réponse aux questions du bureau de Wyden, le ministère de la défense (DoD) a confirmé la menace pour la sécurité nationale que représentent ces codes de réinitialisation du fabricant, qui ne sont pas autorisés dans les serrures utilisées pour conserver les secrets du gouvernement américain. Le ministère de la défense, qui est responsable des normes du gouvernement américain en matière de sécurité des serrures, a également confirmé que l'existence de ces portes dérobées avait été intentionnellement cachée au public afin d'éviter de révéler les méthodes utilisées par le gouvernement américain pour accéder aux serrures et aux coffres-forts.
Le sénateur Wyden a également souligné que, bien que les agences gouvernementales et les forces de l’ordre puissent demander l’accès à ces codes, généralement via un mandat ou une assignation, pour aider à enquêter sur un crime ou répondre à une préoccupation de sécurité nationale, ces codes pourraient être exploités par des adversaires étrangers pour voler des informations sensibles stockées dans des coffres-forts, telles que des secrets commerciaux et d’autres propriétés intellectuelles :
« De nombreux coffres-forts disponibles dans le commerce comportent des serrures électroniques qui peuvent également être déverrouillées à l'aide de codes spéciaux définis par le fabricant et connus de lui seul », a écrit Wyden. « Ces codes de porte dérobée peuvent être exploités par des adversaires étrangers pour voler des informations sensibles que les entreprises américaines stockent dans des coffres-forts, telles que des secrets commerciaux et d'autres éléments de propriété intellectuelle ».
Les codes de réinitialisations des fabricants : une menace pour la sécurité nationale, selon Wyden
Trois entreprises fabriquent la grande majorité des serrures électroniques de coffre-fort utilisées aux États-Unis : SECURAM Systems, basée en Chine, Sargent et Greenleaf, basées aux États-Unis, et dormakaba, basée en Suisse.
Cette situation est particulièrement préoccupante en ce qui concerne les serrures électroniques de coffre-fort fabriquées en Chine, telles que celles produites par SECURAM Systems, un important vendeur de serrures électroniques de coffre-fort vendues aux États-Unis. En tant qu’entreprise basée en Chine, SECURAM est obligée de se conformer à la loi chinoise, y compris l’exigence de coopérer avec des demandes secrètes d’assistance à la surveillance, ce qui pourrait forcer SECURAM à partager des codes avec le gouvernement chinois qui permettraient un accès clandestin aux coffres-forts utilisés par les entreprises américaines.
C'est en tout cas ce que fait comprendre Wyden lorsqu'il souligne la menace que les codes de réinitialisation des fabricants font peser sur la sécurité nationale : « SECURAM Systems, dont le siège est en Chine, est l'un des plus grands fabricants de serrures de coffre-fort électroniques vendues aux États-Unis », poursuit Wyden. « SECURAM pourrait être contraint de partager avec le gouvernement chinois des codes qui permettraient un accès subreptice ou clandestin aux coffres-forts utilisés par les entreprises américaines ».
À la lumière de cette « menace d'espionnage posée par les espions étrangers », Wyden souhaite que le NCSC mette à jour son matériel pédagogique en recommandant aux entreprises d'utiliser des serrures qui répondent également aux normes de sécurité du gouvernement américain - et vraisemblablement sans codes de porte dérobée.
Mais, a-t-il averti, les gens ne peuvent pas agir de la sorte s'ils ne sont même pas au courant du problème :
« Les entreprises américaines ne peuvent pas protéger leur précieuse propriété intellectuelle et, par conséquent, l'avantage économique mondial de l'Amérique, contre l'espionnage étranger si elles sont tenues dans l'ignorance des vulnérabilités des serrures des coffres-forts qu'elles utilisent. À cette fin, j'invite le NCSC à mettre à jour ses documents d'information destinés au public afin de recommander aux entreprises de remplacer leurs serrures de coffre-fort par des serrures conformes aux normes de sécurité du gouvernement américain », a conclu Wyden.
Un problème connu du ministère américain de la défense
Le ministère américain de la défense (DoD) est bien conscient du problème, selon Wyden, qui cite un courriel du DoD daté du 8 novembre, dans lequel les codes de réinitialisation des fabricants sont considérés comme une menace pour la sécurité. Mais si le ministère de la défense interdit aux agences gouvernementales d'utiliser ces serrures, il ne veut pas que le public américain sache qu'elles existent, affirme la lettre :
Le DoD a également fourni à mon équipe le livre blanc ci-joint le 15 décembre 2023, révélant que les normes du gouvernement américain pour les serrures approuvées ne font pas explicitement référence à ces codes de porte dérobée afin d'éviter d'informer le public de leur existence. En bref, le gouvernement a choisi de maintenir le public dans l'ignorance de cette vulnérabilité, après en avoir discrètement protégé les agences gouvernementales.
Et vous ?
Quelle est votre réaction initiale à la découverte de codes d’accès secrets dans les serrures de coffre-fort populaires ? Comment les entreprises devraient-elles répondre à ces vulnérabilités de sécurité ? Pensez-vous que les fabricants de serrures devraient être tenus responsables de divulguer l’existence de tels codes aux consommateurs ? Quelles mesures préventives pouvez-vous envisager pour protéger vos biens contre de telles failles de sécurité ? La découverte de ces codes secrets change-t-elle votre perception de la sécurité des coffres-forts électroniques ? Comment les régulateurs et les organismes de certification devraient-ils agir face à ces révélations ? Quel rôle le gouvernement devrait-il jouer pour assurer la sécurité des informations sensibles stockées dans des coffres-forts ? En tant que consommateur, seriez-vous prêt à utiliser des serrures de coffre-fort qui nécessitent des audits de sécurité réguliers ? 
